3.1 KiB
Report
Am 7/8.5.2024 erhielten wir, Softbox GmbH, die Nachricht, dass ein Server des Bayerischen Volkshochschuleverbandes (BVV) eine unsicher Konfiguration aufweist. Der IT-Beauftragte der BVV, Admir Ramic, erhielt am 30.04 die unten angehaengte E-Mail. Darin wird geschildert, dass der Server mit der IP-Addresse 62.254.128.91 eine HHTP-Sicherheitsluecke aufweist. Techinische Details zu dieser Sicherheitsluecke wurden dem von M-Net bereitgestellten Link, https://abuse.m-net.de/ash/collect/45361/bf0db9d0ac4018ca5da7a4a5f7c61c97 , entnommen. Auf dem betroffenen Server ist ein Webserver installiert, welcher die sogennante 'Moodle' im oeffentlichen Internet zur Verfuegung stellt. Es zeigte sich, dass ein Ordner, namens .git/, der im Quellverzeichniss des Webservers hinterlegt war oeffentlich aufzufbar war. Unter dem Link https://vhs-online.info/.git konnte man den Inhalt dieses Ordners auslesen. In diesem Ordner koennen je nach Konfiguration Nutzerdaten hintelegt sein (Username, Mail, Passwoerter) - was hier nicht der Fall war - weshalb dieser Ordner nicht von der Oeffentlichkeit einsehbar sein sollte.
Die Konfiguration des Webservers wurde so angepasst, sodass dieser Ordner nicht mehr abrufbar ist, wessen man sich vergewissern kann durch klicken auf den obengenannten Link, https://vhs-online.info/.git.
Genauer gesagt, wurde die Konfiguration des Webservers 'Apache', welche in der Datei /etc/apache2/apache2.conf hinterlegt ist, durch die Zeile RedirectMatch 404 /.git erweitert, was dazu fuehrt, dass der Versuch den .git Ordner online aufzurufen zu '404 Error' fuerht.
Lieber Kunde und Nutzer der M-net-Infrastruktur,
automatisiert wurden wir darüber informiert, dass ein System an Ihrem M-net-Anschluss so konfiguriert ist, dass es missbraucht werden könnte. Es liegt aber noch kein konkreter Missbrauch vor. Den genauen Hintergrund dieser Warnung erfahren Sie hier:
Problem: Warnmeldung (Verwundbares HTTP-Gerät) für IP-Adresse: xxx.xxx.128.91
Ihr System könnte missbraucht werden. Wir empfehlen, die Konfiguration anzupassen. Mehr Informationen: https://abuse.m-net.de/ash/collect/45361/bf0db9d0ac4018ca5da7a4a5f7c61c97
Bitte prüfen Sie, ob Sie Ihre Konfiguration anpassen möchten. Diese Entscheidung liegt in Ihrem Ermessen. Ob eventuelle Änderungen wirksam sind, kann M-net nicht unmittelbar verifizieren, Sie erkennen es daran, dass Sie keine weitere dieser automatisierten Benachrichtigungen erhalten.
Wir sind verpflichtet, Sie über diesen Umstand zu informieren und Ihnen Anhaltspunkte zur Lösung zu geben (was wir hiermit tun).
Diese Nachricht wurde automatisiert erstellt.
Freundliche Grüße
M-Net Log
Seen Source Event information 2024-05-07T00:48:51+00:00 Shadowserver
Timestamp 2024-05-07 00:48:51 Severity medium Ip 62.245.128.91 Protocol tcp Port 443 Tag git-config-file Sector Communications, Service Provider, and Hosting Service Detail repositoryformatversion = 0;filemode = true;bare = false;logallrefupdates = true;fetch = +refs/heads/:refs/remotes/origin/;url = git://git.moodle.org/moodle.git Shadowserver Report scan_http_vulnerable
